به گزارش فاواپرس، مرکز مدیریت راهبردی افتا ششم تیرماه ۱۴۰۱ خبری با موضوع شناسایی بدافزار جدید با نام بدافزار Chaplin در زیرساختهای کشور منتشر کرد، شواهدی از فعالیت این بدافزار در زیرساختهای فناوری اطلاعات حوزه صنعت کشور رصد شده است که در این مطلب تشریح دقیقتر از عملکرد آن بهمراه فایلها و اسکریپتهای مخرب بیان میشود.
عملکرد بدافزار Chaplin:
بدافزار Chaplin توسط یک فایل «پاورشل» تحت عنوان Mapping.ps1 فراخوانی میشود. این فایل پاورشل به صورت چندمرحلهای طراحی شده و اهم اقدامات مخرب این فایل عبارت است از:
- گزینش سیستم هدف
- ایجاد مسیر هدف
- انتقال فایلهای مورد نیاز به مسیر هدف
- غیرفشردهسازی فایلهای موردنیاز
- ایجاد، اجرا و سپس حذف سرویس
- حذف لاگ فعالیتها
نکته حایز اهمیت در Mapping.ps1 آن است که این فایل، اطلاعات احراز هویت برای اجرای مراحل فوق را در سطح ممتاز داراست. پس از اینکه Chaplin واسطهای شبکه را غیرفعال میکند، فایل Screen.exe کلیدهای رجیستری LSA را حذف کرده و از این طریق، درصدد ایجاد اختلال در فرآیند احراز هویت کاربران و ایجاد مشکل در فرآیند Boot سیستم برمیآید.
راهکارهای پیشگیری و مقابله با بدافزار Chaplin:
- بروزرسانی آنتیویروس و پویش شبکه
- محدودسازی مجوزهای اجرای کدهای پاورشل
- استفاده از دیوارههای آتش با قواعد سختگیرانه
- تنظیم رمزهای عبور براساس استانداردهای امنیتی
- جمعآوری و پایش لاگهای سیستمی و رویدادهای امنیتی
- معرفی و شناساندن شاخص فایلهای اجرایی و سرویسهای مخرب (IoC)
